ASPIC公式サービス【アスピック】

  • TOP
  • 特集記事
  • WAFの比較13選!クラウドを含めて選び方を紹介

WAFの比較13選!クラウドを含めて選び方を紹介

WAFの比較13選!クラウドを含めて選び方を紹介

最終更新日:2022-12-09

アクセスの多いWebサイトでは、脆弱性攻撃への対策として導入必須なWAF。ここではどのようなタイプのWAFを入れるべきか、WAFを選ぶ際に意識することは何か、比較のポイントや主なサービスとともにご紹介します。

目次

WAFとは?

WAFとは、Webアプリケーションファイアウォール(Web Application Firewall)の略称であり、HTTPS/HTTPで通信されるWebサイトへの悪意のある攻撃を検知・防御するサービスです。

通常のファイアウォールはあらゆる通信を防御対象とするものの、Webサイトとの通信内容までは把握できず、HTTPS/HTTPの特性を活かした攻撃には対処できません。WAFであれば通信内容を把握できるので、悪意のある攻撃に対して、シグネチャと呼ばれる予め想定した攻撃パターンと通信を照合させることで不審な挙動を把握。攻撃と見なせる場合は、アラート通知や通信ブロックを行います。

Webサイトへの代表的な攻撃手法としては、Webサイトの脆弱性を狙ったSQLインジェクションやクロスサイトスクリプティング、DDoS攻撃、IDやパスワード入力を総当たりで試すブルートフォース攻撃などが挙げられます。

これら攻撃を防ぐべく、一切の脆弱性がないようWebアプリケーションを万全に開発することは大事ですが、脆弱性が全くない、完璧な状態にするのも非常に困難なため、攻撃を防ぐ手段としてWAFの利用が広く普及しています。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

 

WAFのタイプと選び方

WAFには主に3つのタイプがあり、セキュリティ、通信性能、導入・運用のしやすさで自社に適したWAFを選ぶことになります。

1. クラウド型WAFの使い分け

クラウド型のWAFは、自社のネットワーク構成を変える必要がないため、導入しやすいタイプです。多くはDNSやSSL証明書の設定をするだけ使えるようになります。手間のかかる初期設定や検知対象の微調整などはサービス提供者側がリモートで設定することも可能なため、運用負担も抑えられます。

拡張性の担保

将来の拡張性を担保したいという場合にも向いています。最初はWebサイトの利用者が少ないのでトラフィックが少ないけれど、将来は多くなる可能性もあり、そうなった場合でもWAFを変えることなく対応したいという場合、サービスによっては料金プランを変えるだけで、大量のトラフィックにも対応できるようになります。

共有型と占有型の選択

トラフィックが少なく、安価に済ませたい場合は共有型を使う手もあります。共有型のクラウド型WAFの場合は他Webサイトとリソースを共有する分、安価に利用できます。ただし、アクセス数が多い場合や高速なアクセス処理を求める場合には不向きです。その場合は、占有型のクラウド型WAFを選択しましょう。

パブリッククラウドが提供するWAFの利用

「WAFの環境構築は自社で行う」ことを前提に、価格重視で最低限のWAFを利用したい場合で、パブリッククラウドを利用しているのであれば、パブリッククラウド提供会社が提供しているWAFの利用が比較的安価です。

たとえば、AWSであれば「AWS WAF」、Azureであれば「Azure WAF」があります。これらのサービスは利用時間や通信料などによる従量課金制のため、一時的にアクセスが増える場合や、期間限定でWebサイトを運用する場合にも向いています。

導入に際して、WAFの初期設定やその後の運用負担に不安がある場合は、初期設定が行われているマネージドルールを合わせて使うのも有効です。AWS WAF向けのマネージドルールについては、「AWS WAF向けマネージドルールのおすすめは?種類別にサービスを紹介」で詳しくご紹介しています。

2. アプライアンス型WAFの使い分け

専用のハードウェアにWAFを組み込んだアプライアンス型WAF は、主には自社ネットワークの中に設置して利用します。アプライアンス型WAFは、高速処理のためにハードウェアを最適化させているとともに、自社専用でリソース全てを使えるため、安定した高速通信が必要な場合は特に向いています。

大規模サイトで高速性と安定性重視であれば、アプライアンス型WAFは有力な選択肢と言えます。

3. ソフトウェアインストール型の使い分け

WAFのソフトウェアを自社でサーバー上に構築して運用するタイプです。インストールや運用だけでなく、セキュリティポリシーの設定やシグネチャの更新などが必要(アプライアンス型WAFも同様)になりますので、一定の手間はかかります。ただし、設定の自由度の高さや、小規模であればWebサイトのWebサーバーに同居して利用することもできますので、自社運用でも問題がなければ使い勝手の良いタイプです。

 

WAFの比較のポイント

1. Webサイトの処理性能への影響

Webサイトへのアクセスが多いのに、WAFでの通信分析に時間を要するようでは、Webサイトの応答速度が低下してしまい、ユーザーの満足度に大きく影響します。WAFが通信のボトルネックになることがないよう、Webサイトのピークトラフィックにさらに余裕を待たせたスペックのWAFを準備しておく必要があります。

なお、クラウドWAFにおいては、従量課金制で必要リソースを適宜割り当てるので速度低下を心配する必要がないものや、料金プランを変更するだけでピークトラフィックを変更できるものがあります。

2. 防御できる攻撃の種類とシグネチャの精度

どのような攻撃にも対応できるようにするためには、ハッキングや不正ログインなどの主要な攻撃は全て検知・防御できるWAFにすべきです。SQLインジェクションやクロスサイトスクリプティングなどへの対応はもちろん、セキュリティコミュニティ「OWASP」が出している脆弱性リストに対応しているサービスも多くあります。

また、ただ対応しているだけでなく、攻撃パターンであるシグネチャの更新頻度や検知するAIの精度も重要になります。多くの主要なWAFでは、運用上支障のないペースでシグネチャが更新されていますので、実績あるWAFを選べば大きな違いにはならない場合がほとんどです。

3. 初期環境構築や運用工数への影響

自社で環境構築や運用保守を行う前提であれば問題ありませんが、そうでない場合は比較的手間のかからないクラウド型WAFを中心に検討することが多いでしょう。一口にクラウド型WAFといっても、運用開始後のトラブル発生時にどこまでどのように対応してくれるかは、サービスやプラン次第になりますので、万一のトラブル発生時の想定が必要です。

たとえば、WAFの誤検知で通信を遮断してしまった場合、正常な通信が遮断されて利用できない、という致命的な事態を招いてしまいます。そのような万が一の際に、メールやチャットで対応方法を一から確認している時間はありませんので、電話やリモート操作で即対応できる、というのは重要なポイントになります。

 

主なWAF(クラウド型)

まずは導入や運用負担の少ないクラウド型のWAFをご紹介します。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

BLUE Sphere(株式会社アイロバ)

BLUE Sphere公式Webサイト

(出所:アイロバ公式Webサイト)

 WAFだけでなく、Webサイトの防御に有効なDDos監視、改ざん検知、DNS監視、そしてサイバー保険もセットになったクラウドサービス。セキュリティ事業の知見を活かした検知精度の高さや過検知の抑制も強み。
料金体系は、Webサイト数やドメイン数が無制限で、使用したデータ量に応じての課金になるため、Webサイトを複数運用している企業に導入しやすい。その際、データ量は3か月平均で計算するため、一時的なアクセス急増による負担を軽減できる。同社エンジニアによる導入時や運用時のサポートも標準料金に含む。

  • 料金:月額45,000円~

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら(インタビューあり)

Cloudbric WAF+(ペンタセキュリティシステムズ株式会社)

Cloudbric WAF+公式Webサイト

(出所:Cloudbric WAF+公式Webサイト)

企業のWebセキュリティ確保に必須とされる、「WAFサービス」「DDoS攻撃対策サービス」「SSL証明書サービス」「脅威IP遮断サービス」「悪性Bot遮断サービス」の5つのサービスを単一のプラットフォームで統合的に利用できるクラウド型WAFサービス。95ヵ国より収集される脅威情報とエキスパート部隊の専門性が強み。
導入時と導入後運用時の2つのフェーズにおいてCloudbric Labsの国内外のセキュリティ専門家集団によるマネージド・セキュリティ・サービスを提供。専門家でなくても使いこなせる、視認性の高いダッシュボードと検知ログのメニューもポイント。過去3カ月分のサマリーレポートを自動作成できる機能を備える。エージェントやモジュールのインストール不要の簡単なプロセスで導入できる。

  • 料金:月額28,000円〜

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

攻撃遮断くん(株式会社サイバーセキュリティクラウド)

Cyber Security Cloud公式Webサイト

(出所:攻撃遮断くん公式Webサイト)

累計導入サイト数が15,000サイト以上、継続率98.9%(2020年の月次平均解約率)の実績を有するクラウド型WAF。SQLインジェクション、クロスサイトスクリプティング、ブルートフォースアタックなどの主要な攻撃に対応。DNS切替え型に加えて、クラウドの監視センターへログ送信し、遮断命令を受けて攻撃を遮断するエージェント連動型もあり。
全てのプランで電話サポートが利用可能なため、万一の時も安心。定額で複数サイトをカバーできる「Webサイト入れ放題プラン」もある。

  • 料金:月額10,000円~(DNS切り替え型のWebセキュリティタイプで1サイトの場合)

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

PrimeWAF(バルテス株式会社)

PrimeWAF公式Webサイト

(出所:PrimeWAF公式Webサイト)

低コストかつ、導入には専門知識が不要な、ゼロ情シス・一人情シスの中小企業も気軽に導入できるWAF。「初めてのセキュリティ対策」として多くの企業で選ばれている。月額利用料は、Webサイトへの通信量に応じて課金する従量制。もしものアクセス急増に備えて高いプランを契約しておく必要がないのが、手頃な価格の理由。
管理画面がわかりやすく、攻撃への対策が立てやすいのも魅力。提供会社のバルテス社のノウハウにもとづた初期設定が標準で利用可能で、簡単にWebサイトの防御を始められるのも中小企業にはありがたい。

  • 料金:月額13,000円~(通信量に応じた従量課金制)

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

Imperva WAF(Imperva)

impervaWAF公式Webサイト

(出所:Imperva WAF公式Webサイト)

クラウドサービスとアプライアンス(仮想を含む)から選んで利用できる米国企業のWAFサービス。AWS、AzureやGCPなどの環境下でも利用可能。防御できる範囲の広さや検知精度の高さは世界中で定評あり。ポリシーを自動化する機能や用意されたルールを使用することで、負担を抑えながら利用を開始できる。
トラフィック分析やルール作成などをオプションで依頼することもできる。コストをかけてでも対策を強化したい場合に特に向いている。

  • 料金:要問い合わせ

詳細はこちら

Scutum(株式会社セキュアスカイ・テクノロジー)

Scutum公式Webサイト

(出所:Scutum公式Webサイト)

脆弱性診断サービスを手掛ける会社が開発するクラウド型WAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。シグネチャ形式ではなく、因果関係を分析するベイジアンネットワークと異常検知アルゴリズムをもとにした独自開発のAIによる検知精度の高さ・誤検知の少なさが強。脆弱性情報の収集に力を入れ、即座に対策できるようにしている。
ピーク時のトラフィック量に応じて料金が変わる体系。オプションで分析レポートの作成を依頼したり、DDoS対策を強化したりできる。

  • 料金:29,800円~(0.5Mbpsの場合)、初期費用98,000円~

詳細はこちら

マネージドWAFサービス(セコムトラストシステムズ株式会社)

マネージドWAFサービス

(出所:マネージドWAFサービス公式Webサイト)

24時間365日の有人監視やレポート提供がセットになっている点がユニークなクラウド型WAF。WAFの導入だけでなく、稼働・性能監視、障害対応、シグネチャの更新、設定変更などの運用作業を任せることができる。AWSやAzureなどのクラウド環境にも対応。

  • 料金:要問い合わせ

詳細はこちら

 

主なWAF(パブリッククラウド関連型)

AWS WAF(アマゾン ウェブ サービス ジャパン合同会社)

AWS WAF公式Webサイト

(出所:AWS WAF公式Webサイト)

AWS利用者にとっては利用しやすいWAFサービス。SQL インジェクションやクロスサイトスクリプティングなど一般的な攻撃パターンに対応。分レベルの短時間で導入可能。初期設定が予め用意されたマネージドルールを利用できるので環境構築の負荷も小さい。小規模サイトであれば月数千円程度から利用できるサービス。
対象サーバーはAWS上のサーバーに限られるため、AWSで運用しているサーバーに対してWAFを効率的に導入したい場合に向いている。

  • 料金:従量制(ルールやリクエストなどの利用量に応じて課金)

詳細はこちら

Azure Web Application Firewall(日本マイクロソフト株式会社)

AzureWAF公式Webサイト

(出所:Azure WAF公式Webサイト)

Azure上でクラウドのサーバー環境を運用している場合に利用しやすいAzure向けWAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。あらかじめ設定されたマネージルドルールを使えば設定の負担を軽減できる。イベントログのSIEMツールとの連携にも対応。
料金体系は従量課金制でスケーリングできるので、ピーク時のトラフィックを想定することなく導入できる。

  • 料金:従量課金(ゲートウェイ利用料 + データ送信料)

詳細はこちら

 

主なWAF(アプライアンス型)

Barracuda Web Application Firewall(バラクーダネットワークス)

Barracuda Web Application Firewall

(出所:Barracuda WAF公式Webサイト)

アプライアンス型WAFだけでなく、クラウド型WAF、AzureやAWS向けのWAFも提供している。小規模サイトから大規模サイトまで5つのモデルで対応。
ブルートフォース攻撃、インジェクション攻撃などの主要な攻撃に加えて、アップロードファイルのアンチウィルスや個人情報の違法コピーを防ぐデータ盗難プロテクション機能を保有。
送信元のIPレピュテーション(送信元の信頼性の高さ)を同社独自のデータベースに蓄積しており、IPレプリケーションの程度に応じたアクセス制御が可能。

  • 料金:1,285,000円(初年度保守込)~

詳細はこちら

FortiWeb(フォーティネット)

FortiWeb公式Webサイト

(出所:FortiWeb公式Webサイト)

ファイアウォールで世界的にシェアの高い同社のWAF。高速処理を実現するためのハードウェア性能を有するため、大規模サイトに適している。AWSやAzureで動作する「FortiWeb on AWS」や「FortiWeb on Azure」もある。定期的なシグネチャ更新による防御だけでなく、機械学習エンジンを用いたゼロデイ攻撃対策もある。

  • 料金:要問い合わせ

詳細はこちら

 

主なWAF(サーバーインストール型)

SiteGuard(株式会社ジェイピー・セキュア)

SiteGuard

(出所:SiteGuard公式Webサイト)

100万サイト以上の導入実績を有する国産のWAF。Webサーバー上でモジュールとして動作するホスト型と、リバースプロキシとして動作するゲートウェイ型がある。シンプルなGUI上でセキュリティポリシーなどを設定できるので、設定に悩むことは少ない。
なお、さくらのクラウドの場合は、無料で「SiteGuard Server Edition」を利用することが可能。小規模サイトで、安価に堅牢なサイトを構築したい場合はコストパフォーマンスが高いと言える。

  • 料金:1ライセンス252,000円(新規価格の場合。1年間の利用料。次年度以降は126,000円)

詳細はこちら

InfoCage SiteShell(日本電気株式会社)

InfoCage SiteShell

(出所:InfoCage SiteShell公式Webサイト)

Webサイトにインストールするタイプ。Webコンテンツ改ざん防止の監視オプションもあり。SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどの主要な攻撃に対応。
Webサイトに直接インストールするホスト型、WAF専用サーバーにインストールするネットワーク型、スイッチのミラーポートに接続したWAF専用サーバーにインストールするスニファ型から選べる。

  • 料金:年間ライセンス60万円(保守付き)~

詳細はこちら

 

まとめ

Webサイトを運営する企業にとって不可欠なWAF。大規模サイトで高速処理を前提にするのであれば、依然としてアプライアンス型WAFは安心ですが、一定の導入コストや運用負荷は必要です。ECサイトのようにアクセスの多いWebサイトにおいても中規模サイトまではクラウド型WAFで十分対応できることが増えています。

WAFの動作が不安定だとWebサイトの利用に致命的な影響を与えますので、万一の自社での運用が不安であれば、どのようなタイプであれ、即時のサポートと、ログ分析などのチューニング支援が受けられるサービスを選ぶと安心です。

 

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

 

インタビューやサービス詳細はこちら

BLUE Sphere(ブルースフィア)|インタビュー掲載

BLUE Sphere(ブルースフィア)|インタビュー掲載

クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

攻撃遮断くん

攻撃遮断くん

導入サイト数1万5,000以上。トップクラスの実績を持つ国産クラウド型WAF。あらゆるWebシステムに導入でき、複数サイトでも定額利用可能。24時間365日、日...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

PrimeWAF

PrimeWAF

導入が簡単で、月額14,500円~と手頃な価格でセキュリティ対策を講じることができるWAFサービス。クラウド型だから、常に最新のセキュリティ対策を実装できて安心...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

Cloudbric WAF+

Cloudbric WAF+

企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

このページの内容をシェアする

  • Facebook
  • Twitter
  • LINE
TOPへ戻る

資料ダウンロードフォーム

1分で簡単登録。無料

入力フォームはこちら

登録済みの方はこちら

パスワード再発行

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

アンケートにご回答ください。

サービスの導入検討状況を教えてください。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提供会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE